Norme privacy UE, ecco tutto ciò che bisogna sapere su accountability e sicurezza

Il nuovo regolamento europeo in materia di protezione dei dati personali riconosce a livello normativo il principio di accountability e richiede un nuovo approccio culturale e organizzativo. Vediamo quali sono gli impatti per le pa e imprese

di Mauro Alovisio e Fabio Di Resta, avvocati

Con il regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.

Che cosa è il principio di accountability?

Il regolamento prevede fra i suoi pilastri il principio di accountability (che potrebbe essere tradotto in “responsabilizzazione e obbligo di rendicontazione“) che riguarda tutti i soggetti.

Si tratta di un forte riconoscimento a livello normativo di un principio riconosciuto dal Gruppo art.29 [1] sia a livello compliance aziendale, presente a livello contrattuale e nei modelli analoghi a quelli utilizzati nell’applicazione del D.lgs 231 in materia di responsabilità amministrative delle società: il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve dimostrare in modo positivo e proattivo trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.

Il regolamento prevede , già nel considerando n. 70 che è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto: in particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare il proprio grado di conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure.

Il sopra citato principio di accountability sancisce il salto di qualità nei sistemi di gestione dei dati: il passaggio da una concezione prettamente formale di mero adempimento ad un approccio sostanziale di tutela dei dati e delle persone stesse ed è pertanto strettamente connesso con le misure di sicurezza e con l’analisi del rischio, con la valutazione di impatto privacy e con i principi privacy by design , privacy by default che devono essere presenti nella progettazione di servizi e programmi.

L’accountability costituisce una delle principali sfide per le pubbliche amministrazioni ed aziende: un notevole cambio culturale e di approccio, come è possibile dimostrare per le organizzazioni di essere compliance rispetto agli obblighi previsti dal regolamento europeo in materia di protezione dei dati personali? cosa devono fare le imprese e le pubbliche amministrazioni nelle more dell’entrata in vigore del regolamento?

L’attuale codice della privacy non prevede in modo diretto il principio di accountability, prevede un sistema di responsabilità civili, penali e amministrative e una serie di adempimenti formali (informativa, consenso, notificazione al Garante, misure minime e idonee) ma non un approccio di responsabilizzazione.

Le organizzazioni, come emerso nella recente intervista al Presidente dell’Autorità Garante per la Protezione dei dati personali[2], devono, alla luce del nuovo regolamento in materia di protezione dei dati personali, ripensare attivamente le modalità di gestione e di utilizzo dei dati personali attraverso una loro maggiore responsabilizzazione e adattandosi ai nuovi istituti previsti (Valutazione di impatto privacy; notificazione di violazioni di dati “data breach”). Le organizzazioni devono prendersi cura dell’interessato e mettersi nei suoi panni: il principio di accountability è un principio di effettività di garanzia verso l’interessato che implica la massima trasparenza[3]. Il titolare può dimostrare che il trattamento dei dati è conforme al regolamento europeo in materia di protezione dei dati personali attraverso l’adozione delle misure di sicurezza o l’adesione ai codici di condotta (v. art. 40) o un meccanismo di certificazione (art. 42).[4] Le misure di sicurezza adeguate lo strumento fondamentale per garantire la tutela dei diritti e delle libertà delle persone fisiche. Il regolamento prevede che le misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Nell’art. 24 del regolamento, rubricato “Responsabilità del trattamento” viene previsto che, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Viene specificato che le sopra citate misure sono riesaminate e aggiornate qualora necessario (si tratta di un principio del miglioramento continuo, di sicurezza come processo e non come prodotto che è emerso nelle best practice aziendali). Le sopra citate misure includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento, se ciò è proporzionato rispetto alle attività di trattamento (ottimo al fine di evitare sistemi ridondanti).

Quale è l’impatto del nuovo regolamento sulla sicurezza del trattamento?

A livello comunitario la disciplina sul tema della sicurezza del trattamento dei dati viene mantenuta nel suo impianto generale, ma viene aggiornato con una maggiore attenzione al risk-based approach e specificando in modo più descrittivo ed esemplificativo alcune delle principiali tipologie di misure tecniche ed organizzative, introducendo anche nuovi principi come quelli di accountability, di data protection by design e by default.

Più nel merito, da una parte, già nella direttiva 95/46/Ce all’articolo 17 prevedeva sia un risk-based approach, sia che le misure tecniche ed organizzativa in linea con lo stato dell’arte o meglio soluzioni adottare in base al progresso tecnico (questo è concetto previsto dall’art. 31 del nostro Codice della Privacy la quale ha recepito la direttiva 46).

A questo riguardo, si può asserire che l’art. 32 del regolamento 679 mantiene l’impianto, ma innova parzialmente inserendo un concetto di efficacia delle misure di sicurezza (si veda art. 32 lett. d), prevede anche la valutazione di impatto (c.d. Data Protection Impact Assessment) quale strumento fondamentale per conoscere la stato attuale e il margine di miglioramento del proprio sistema privacy.

In termini più generali, la nuova disciplina per lo più aggiorna quella esistente indicando soluzioni molto diffuse sul mercato come la pseudonimizzazione, richiamando in modo più puntuale concetti essenziali di sicurezza delle informazioni come la riservatezza, integrità e disponibilità (noti con l’acronimo RID).

Dall’altra parte, a livello nazionale la disciplina contenuta nel Codice della Privacy, come è noto, già prevede la sicurezza dei dati e dei sistemi, disciplinando due macro-tipologia di misure di sicurezza, le misure idonee e preventive di sicurezza e le misure minime di sicurezza.

Le misure idonee e preventive sono connesse al progresso tecnico e la loro omissione implica una responsabilità civile, nel corso degli anni questa norma è stata utilizzata in numerosi settori dell’economia dal risarcimento del danno dall’ambito bancario, in ambito giornalistico, alle centrali rischi, alle pubbliche amministrazioni, ecc., ecc..

Mentre le misure di sicurezza, tra le quali anche il noto ed oramai abrogato (nel 2012) Documento Programmatico per la Sicurezza (DPS), in caso di omissione sono previste concorrenti responsabilità di tipo amministrativo e penale.

Una domanda molto ricorrente è se il nuovo regolamento andrà a rivoluzionare la materia della protezione dei dati personali eliminando interamente le tutte o molto delle disposizioni ancora previste del Codice della Privacy.

La risposta non può che essere negativa, verranno sicuramente eliminate le disposizioni del Codice incompatibili con il nuovo regolamento, ma come anche previsto dal considerando 10 dello stesso, viene lasciato un certo margine di manovra agli Stati Membri.

Sebbene si debba sicuramente garantire l’obiettivo dell’armonizzazione, tale margine di manovra, si ritiene che non sia limitato alle sole leggi settoriali, ma anche all’impianto sinora applicato in tema di misure di sicurezza, pertanto, tale distinzione sarà molto probabilmente mantenuta anche dopo l’applicazione del regolamento, certamente con i dovuti aggiornamenti delle singole disposizioni come per esempio con riguardo alle soluzioni di pseudonimizzazione non espressamente previste dal nostro Codice.

Il nuovo Regolamento UE prevede a carico dei titolari del trattamento o sui responsabili l’obbligo di adottare documentazione simile al documento programmatico sulla sicurezza previsto dal D.lgs 196/01 (D.P.S.) ?

In applicazione del principio di accountability nel regolamento viene anche previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto, come accennato, fino al 2012 nel Codice della Privacy (disposizioni abrogate all’art. 34 lett. g e punto 19 dell’Allegato B del Codice della Privacy).

Tuttavia, a stretto rigore viene stabilito che “I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico”, inoltre, quanto al contenuto, viene previsto che debba contenere “ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1  [… ] Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”.

La disposizione sopra richiamata prevede un’esenzione da tale adempimento per le sole piccole e medie imprese (PMI), pertanto, mentre le pubbliche amministrazioni e le altre imprese medie e grandi ne saranno tutte soggette, le PMI pur essendo tenute ad osservare il regolamento potranno decidere di non organizzarsi anche per gestire un registro delle attività.

Infine in termini più generali, il titolare del trattamento ed i responsabili del trattamento saranno tenuti ad adottare delle misure di sicurezza organizzative e tecniche volte a mitigare il rischio secondo un approccio proattivo (accountabilty), identificando i rischi connessi al trattamento (c.d. risk-basedapproach) e adottando misure adeguate che tengano in conto dei principi di trasparenza oltre ai principi di privacy by design (privacy sin dalla progettazione) e by default .

Data Protection Officer e accountability

Il regolamento prevede anche la nuova figura del responsabile della protezione dei dati personali (Data Protection Officer – DPO), si tratta di una vera e propria funzione aziendale con staff e risorse necessarie, funzione già attiva in Italia da numerosi anni soprattutto presso i grandi operatori.

Tuttavia, il ruolo del DPO che viene disciplinato dal regolamento identifica un unico responsabile di tale funzione appunto il responsabile della protezione dei dati personali, dipendente oppure in base ad un contratto di servizi; inoltre, viene definito dall’art. 39 nei suoi compiti minimali potendo il titolare del trattamento definire un ambito di delega più ampi di quanto previsto.

Il DPO in concreto è un supervisore indipendente, che deve porre in essere un complesso di controlli volti a verificare sia l’efficacia delle misure sia che il titolare sia in grado di dimostrare che l’architettura privacy esistente sia conforme al regolamento. In questo senso l’attività di supervisione che riguarda anche la  sensibilizzazione e la formazione in materia di protezione dati, rappresentano le applicazione più importanti ed innovative del principio di accountability all’interno del regolamento.

Inoltre, che sarà designato da soggetti apicali sia dalle pubbliche amministrazioni che in ambito privato. Sarà pertanto obbligatorio nelle pubbliche amministrazione e negli enti pubblici, in ambito privato sarà obbligatorio in alcune circostanze quando per esempio tenuto conto dell’ambito applicativo, della natura e delle finalità, il trattamento riguarderà un monitoraggio regolare e sistematico dei dati personali dell’interessato su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili (inclusi anche i dati biometrici nella nuova definizione) oppure giudiziari(escluse comunque le autorità giurisdizionali nell’esercizio delle proprie funzioni giurisdizionali).

A seconda del contesto in cui dovrà operare si troverà ad affrontare questioni giuridiche e tecniche informatiche più o meno complesse, qualora il titolare del trattamento non operi solo in Italia dovrà essere in grado di gestire questioni transnazionali sia all’interno dell’Unione Europea (rectius Spazio Economico Europeo, che come noto include oltre agli Stati Membri dell’EU anche il Liechtenstein, l’Islanda e la Norvegia) sia fuori dalla stessa.

Infine, il ruolo del DPO oltre a ricomprendere le attività di contatto con l’Autorità Garante sarà anche menzionato sia nelle informative privacy (i suoi dati di contatto) sia nel registro del trattamento, pertanto, tenendo anche conto del ruolo cruciale a lui affidato svolgerà necessariamente un ruolo centrale anche nella gestione dei riscontri degli interessati che rivolgeranno le proprie richieste di accesso al titolare del trattamento, sebbene questa attività non sia stata espressamente prevista tra i suoi compiti ex art. 39 del regolamento.

Conclusioni

L’accountability è una pietra angolare del regolamento, ed è finalizzato a responsabilizzare le imprese e a creare un nuovo rapporto di fiducia dei cittadini/consumatori nell’ottica dello sviluppo dell’economia digitale in tutto il mercato europeo.

Il principio di accountability ha un impatto notevole in quanto riguarda tutti i livelli dell’organizzazione aziendale ed è connesso alle responsabilità e alle sanzioni: chi non rispetta il principio di accountability e non adotta le misure di sicurezza,  si espone al rischio di ispezioni, contestazioni e sanzioni elevate.

L’applicazione del principio di accountability nelle organizzazioni richiede un approccio proattivo e multidisciplinare con il supporto di figure informatiche e giuridiche.

Mauro Alovisio , fellow del Centro di ricerca su internet e società Nexa del Politecnico di Torino, direttore di settore del Centro Europeo per la Privacy (EPCE). presidente del Centro Studi di Informatica Giuridica di Ivrea Torino,  lavora presso l’Università degli Studi di Torino ma scrive a titolo personale

Fabio Di Resta, Avvocato e presidente del Centro Europeo per la Privacy (EPCE). LL.M. – Docente e componente del Consiglio direttivo del Master di II livello sul Data Protection Officer, Dipartimento di giurisprudenza, Università Roma Tre patrocinato dal Garante per la protezione dei dati personali.

Gli autori saranno relatori in materia di regolamento europeo nella prossima edizione di Omat del 15 e 16 giugno 2016 a Milano http://www.omat360.it/


[1] Per approfondimenti sul principio di accountability: Gruppo art.29, Opinion 3/2010 on the principle of accountability; Linee guida Privacy OCSE del 2013; 32 esima Conferenza mondiale dei Garanti europei a Gerusalemme del 2010 Secondo il sopra citato  parere n. 3 del 2010 del Gruppo art. 29 i titolari del trattamento devono adottare misure in grado che le norme in materia di protezione dei dati siano rispettate nel contesto delle operazioni di trattamento e disporre di documentazione finalizzata a dimostrare agli interessati e alle autorità di controllo le misure adottate per garantire il riespetto delle norme di protezione dei dati.

 

[2]Per approfondimenti: http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4757578

 

[3] Per approfondimenti sul principio di trasparenza e responsabilità nel regolamento europeo: Francesco Pizzetti; Privacy ed il diritto europeo alla protezione dei dati personali, Giappichelli, 2016, pag. 270-284;Michele Iaselli; Cosa cambia con il nuovo regolamento europeo, Altalex, 2016 ¸pag.10.

[4] v. art. 32 del regolamento 3.L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo

20 Giugno 2016